漏洞概述
多个 Botble 产品(包括 TransP、Athena、Martfury 和 Homzen)中存在 HTML 注入漏洞。该漏洞源于应用程序在处理用户输入时缺乏充分验证,攻击者可通过向 /search 接口的 ‘q’ 参数发送恶意请求,注入 HTML 内容,从而可能影响页面渲染或执行恶意脚本。
漏洞详情
- CVE 编号:CVE-2026-1183
- 漏洞类型:HTML 注入(CWE-79)
- CVSS 评分:5.1(中危)
- 影响版本:TransP、Athena、Martfury、Homzen 等多个 Botble 产品
影响范围
使用受影响 Botble 产品的网站,特别是未对用户输入进行有效过滤或转义的部署环境。
风险分析
攻击者可利用该漏洞通过构造恶意搜索请求,在目标页面中注入 HTML 内容。虽然当前 CVSS 评估未显示对机密性、完整性或可用性的直接影响,但子完整性影响为“低”,表明可能造成页面内容篡改、钓鱼攻击或结合其他漏洞扩大攻击面。用户需与页面交互(如点击链接)才可能触发,因此依赖主动用户交互。
修复建议
- 建议用户及时联系 Botble 官方获取安全更新或补丁,对 /search 接口的 ‘q’ 参数实施严格的输入验证与输出编码。
- 临时缓解措施包括在 Web 应用防火墙(WAF)中配置规则,拦截包含可疑 HTML 标签的请求,或对搜索参数进行 HTML 实体转义处理。
